Actualidad

El caos por el Covid abre una grieta en la privacidad de los datos del SEPE

Una oficina del SEPE
Una oficina del SEPE
Spread the love

Carlos Manso Chicote / Susana AlcelayABC

La información completa de los beneficiarios está a disposición de todo el personal interino o contratado solo para un programa específico

El colapso provocado por el ciberataque pone en peligro el pago puntual de las prestaciones por desempleo del mes de marzo

El Covid asestó al SEPE el golpe definitivo para que el organismo, que ya sufría una gestión del siglo pasado, entrara en colapso. La necesidad de gestionar los cerca de cuatro millones de ERTE que se presentaron al comienzo de la pandemia obligó al servicio público de empleo a echar mano de todos sus recursos para poder gestionar el alud de expedientes. Con la presión de este torrente de peticiones de ayuda, el organismo público volcó a todo el personal en la resolución de los problemas, además de contratar a 1.000 empleados temporales. A todos se les facilitó, con un golpe de clic, el acceso a los datos almacenados de millones de ciudadanos. «Cualquier auxiliar administrativo, sea personal funcionario,

laboral, interino o contratado por algún programa específico, tiene técnicamente a su disposición una ingente cantidad de datos personales de cualquier persona de este país. Se tiene acceso a datos completos sin ningún tipo de cifrado, encriptamiento o barrera de seguridad que impida acceder a esos datos», apuntan las fuentes consultadas por ABC. Estas mismas fuentes se refieren a los datos completos de cualquier persona relacionados con toda su vida, como nóminas, bajas laborales, datos bancarios, declaración de IRPF, pensiones, despidos, excedencias, datos sobre grados de minusvalía o empadronamiento, entre otros muchos.

Explican también que este acceso no está informáticamente restringido únicamente a la persona que está resolviendo ese expediente, y también que, una vez resuelto, tampoco se borra esa información sino que permanece almacenada en las bases de datos. «La consecuencia de todo lo anterior es que ante un ciberataque como el que ha sufrido el SEPE, todos esos datos personales quedan gravemente en riesgo y solamente queda creer en la sinceridad de las declaraciones del director general del SEPE, Gerardo Gutiérrez, al decir que no se han visto comprometidos esos datos», explican las mismas fuentes. Añaden que si ha sido así es «porque no se ha querido capturar esos datos, no porque no hayan estado al alcance».

Gestión y abonos

El organismo que paga el desempleo se mantenía ayer a medio gas, tras una semana desde que los piratas informáticos perpetraran un ataque con un virus de tipo ‘Ransomware’, especializado en cifrar datos y secuestrar los ordenadores. Al complejo proceso de recuperación se une la advertencia lanzada ayer por CSIF: «Con casi total seguridad habrá retrasos en la gestión y aprobación de las nuevas prestaciones este mes». Es decir, estas se reconocerán y tramitarán, pero su cobro no llegará puntual dada la cola de resoluciones atascadas desde el martes día 9.

El problema es que, hasta ayer, las solicitudes se recogían con lápiz y papel en las más de 700 oficinas presenciales; ahora que ya van recuperándose diferentes funcionalidades hay que volcarlas al sistema. A ello se une que la carga de trabajo ya era elevada antes de la irrupción de los ciberdelincuentes. Según estimaciones de diferente sindicatos, a diario pueden llegar a entrar entre 100.000 y 120.000 nuevas solicitudes.

La plantilla del SEPE viene denunciando en los últimos días la sobrecarga de trabajo y la antigüedad de sus sistemas y aplicaciones informáticas, con más de 30 años. Un hecho reconocido también en una circular interna datada en 2019 y firmada por el director general del SEPE, Gerardo Gutiérrez, de la que ya informó ABC. Sin embargo, el organismo obvió el problema por el miedo a que un cambio informático pudiera afectar al pago de prestaciones, según los documentos que obran en poder de este diario.

No está ayudando en la solución del ciberataque el uso de portátiles personales por parte de los funcionarios que teletrabajan, lo que ha podido ser una puerta de entrada del virus, tal y como avanzó este periódico. Desde CSIF, su coordinador nacional en el SEPE, Manuel Galdeano, ha exigido a la Dirección General de la institución que aquellos equipos que han realizado teletrabajo «sean analizados y sea resuelta cualquier afectación de los mismos por parte de los servicios informáticos».

Funcionarios con móviles

Los 8.000 funcionarios del organismo usaron también durante el primer confinamiento sus propios móviles y, por ello, tuvieron que hacer frente a unas facturas telefónicas más elevadas de lo habitual debido al importante número de terminales a los que debían llamar. Según CSIF, desde el pasado verano se ha introducido una aplicación para que los empleados públicos puedan llamar a través de internet (una conexión IP), y también han logrado que el SEPE compense esta circunstancia.

El auténtico test de estrés que ha supuesto la pandemia ha obligado a este organismo a poner al 101% a todos los efectivos disponibles, así como a los 1.500 funcionarios interinos incorporados como apoyo durante el año pasado. Un refuerzo que el sindicato de funcionarios ve insuficiente y, además, ha obligado a un esfuerzo de formación extra, ya que la experiencia de estos interinos era totalmente ajena a la actividad del SEPE. Todo ello agravado por la ola sin precedentes de nuevas solicitudes de prestaciones por paro que ha sufrido el organismo por el Covid, según fuentes consultadas

En este sentido, Galdeano defiende que todos los funcionarios tengan acceso a la información que necesitan para realizar su trabajo y recuerda que el ciberataque de la semana pasada fue perpetrado por un ‘malware’ (software malicioso) de última generación «tras el que hay verdaderos ciberdelincuentes».

Para el fundador de Securízame.com, Lorenzo Martínez, no se trata solo de una cuestión de «usuario y contraseña». En este sentido, cree que lo relevante está en la «política de autorización» y recomienda que esta gire alrededor de dos conceptos: el ‘need to know’, es decir, el que la persona acceda a las aplicaciones y datos estrictamente necesarios para hacer su trabajo. «O bien el enfoque puede ser el de la ‘list of privilege’, que privilegia el acceso, para que el usuario no pueda usar lo que no necesite para su labor», explica este experto. En paralelo, el representante de CSIF muestra su preocupación por la antigüedad de los sistemas y aplicaciones del SEPE. Una realidad que, a pesar de haber una partida presupuestada este año de 100 millones de euros para la modernización de equipos, no se ha sustanciado aún, según apuntan desde el sindicato.

Añade un comentario

Pulsa aquí para comentar

Mercedes Benz
The new Mercedes-Benz C-Class